Win32/Sober.I: felfelé a toplistán

forrás Prim Online, 2004. november 19. 17:46
Az Eset Software (NOD32 Antivirus System) egy új Sober változat felbukkanásáról számolt be délelőtt, mely nagyon gyorsan terjed, a mai top 10-es listán már a harmadik helyet foglalja el.
Win32/Sober.I

A Visual Basic nyelven írt Win32/Sober.I féreg e-mail csatolmányaként érkezik, melynek hossza a tömörítésnek köszönhetően csupán 55 KB körüli.

A mellékletre való kattintással a “dropper"-ként funkcionáló csatolmány kidobja magából a tényleges férget (két példányban, a %system% könyvtárba), mely 45 KB körüli hosszúságú. A férget tartalmazó fájlok nevei az alábbi kifejezések véletlenszerű kombinációi lesznek:

sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32


A féreg létrehoz két kulcsot a regisztrációs adatbázisban, a HKLMSoftwareMicrosoftWindowsCurrentVersionRun és a HKCUSoftwareMicrosoftWindowsCurrentVersionRun helyeken, ide beírja az előbb említett módon keletkezett fájlokat.

A Win32/Sober.I a számítógépen található fájlok közül a következő kiterjesztésű allományokból szerzi a terjedéséhez szükséges e-mail címeket:

pmr stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

Ha a címben az alábbi részek szerepelnek, nem küld e-mailt a féreg:

ntp- ntp@ office @www @from. support redaktion smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure msdn. me@ whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel password noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time postmas service freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla @iana @avp @msn icrosoft. @spiegel. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

A %system% alkönyvtárban a következő fájlok jönnek létre:

winsend32.dal
winroot64.dal
cvqaikxt.apk
Odin-Anon.Ger
sysmms32.lla
dgssxy.yoi
zippedsr.piz
nonzipsr.noz
winexerun.dal
winmprot.dal
clonzips.ssc
clsobern.isc
sb2run.dii


A fenti fájlokban a féreg információkat tárol az összegyűjtött e-mail címekről.

A Win32/Sober.I által küldött emailek angol, vagy német nyelvűek lehetnek. Ha a címzett tartalmazza a “gmx.", a “.de", “.ch", “.at" vagy a “.li" részeket, német nyelvű üzenetet küld, különben angol nyelvűt.

A német nyelvű üzenet tárgya a következők lehetnek:

Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungültige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.- Ihr Account
Ihre neuen Account-Daten
Auftragsbestätigung
Lieferungs-Bescheid


A Win32/Sober.I sokféle levéltörzset tud generálni, pl:

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine Änderung bezüglich Ihrer Nutzungs- Daten vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.


Vielen Dank für Ihr Verständnis.


------ GmbH & Co. KG
------ Send-To: Home-Service@wimmeroth-assekuranz.com
------ www.wimmeroth-assekuranz.de



Az angol nyelvű üzenetek az alábbi tárgyak valamelyikével érkeznek:

Details
Oh God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system


A NOD32 kiterjesztett heurisztikus keresőmotorja segítségével képes felismerni a dropper által létrehozott tényleges férget, a Win32/Sober.I férget név szerint az 1.927-es adatbázistól fölfelé (2004. 11. 19.) tudja azonosítani a program. A vírusadatbázis frissítése mindenképpen ajánlott.